Hi,
Tut mir leid wenn die Überschrift nicht aussagekräftig ist, wusste nicht wie ich dass dort zusammenfassen soll...
Man soll ja seine Anwendung gegen Sql-Attacken schützen, da stellt sich für mich die Frage:
Wenn ich ein neues (Datenbank) User-Konto erstelle, das in meiner Applikation angegeben wird, damit eine Verbindung zur DB aufgebaut wird und diesem sehr eingeschränkte Rechte gebe, z.B. nur schreiben, lesen, und updaten für nur bestimmte Tabellen bzw Felder, wie groß könnte denn dann der Schaden sein, wenn jemand die Zugangsdaten herauskriegt??
Er darf ja weder ein neues Konto erstellen, noch Rechte vergeben oder irgendetwas löschen.
Natürlich soll man immer die Eingaben überprüfen bevor man sie zur DB schickt. Aber es wäre beruhigend zur wissen, dass in so einem Fall eine sql-injection oder desgleichen dem Angreifer --überhaupt nichts-- bringt, weil die benötigten Rechte nicht vorhanden sind. Oder lieg ich da falsch?
lg miara
Tut mir leid wenn die Überschrift nicht aussagekräftig ist, wusste nicht wie ich dass dort zusammenfassen soll...
Man soll ja seine Anwendung gegen Sql-Attacken schützen, da stellt sich für mich die Frage:
Wenn ich ein neues (Datenbank) User-Konto erstelle, das in meiner Applikation angegeben wird, damit eine Verbindung zur DB aufgebaut wird und diesem sehr eingeschränkte Rechte gebe, z.B. nur schreiben, lesen, und updaten für nur bestimmte Tabellen bzw Felder, wie groß könnte denn dann der Schaden sein, wenn jemand die Zugangsdaten herauskriegt??
Er darf ja weder ein neues Konto erstellen, noch Rechte vergeben oder irgendetwas löschen.
Natürlich soll man immer die Eingaben überprüfen bevor man sie zur DB schickt. Aber es wäre beruhigend zur wissen, dass in so einem Fall eine sql-injection oder desgleichen dem Angreifer --überhaupt nichts-- bringt, weil die benötigten Rechte nicht vorhanden sind. Oder lieg ich da falsch?
lg miara
Kommentar